Wprowadzenie polityki bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym.

Dzienniki resortowe

Dz.Urz.CBA.2010.1.25

Akt utracił moc
Wersja od: 9 października 2009 r.

DECYZJA Nr 80/09
SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO
z dnia 9 października 2009 r.
w sprawie wprowadzenia polityki bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym

Na podstawie § 1 statutu Centralnego Biura Antykorupcyjnego, stanowiącego załącznik do zarządzenia nr 56 Prezesa Rady Ministrów z dnia 22 lipca 2009 r. w sprawie nadania statutu Centralnemu Biuru Antykorupcyjnemu (M. P. Nr 47, poz. 688), postanawia się, co następuje:
§  1.
1.
Wprowadza się do użytku wewnętrznego politykę bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym, stanowiącą załącznik do decyzji.
2.
Dyrektorzy jednostek organizacyjnych Centralnego Biura Antykorupcyjnego, zwanego dalej "CBA", są obowiązani do zapoznania podległych im funkcjonariuszy i pracowników z polityką bezpieczeństwa informacji w CBA, w terminie 30 dni od dnia wejścia w życie niniejszej decyzji.
3.
W terminie 60 dni od dnia wejścia w życie niniejszej decyzji, dyrektorzy jednostek organizacyjnych CBA, przekażą dyrektorowi Departamentu Ochrony CBA informacje o zapoznaniu się z treścią polityki bezpieczeństwa informacji w CBA przez wszystkich podległych im funkcjonariuszy i pracowników.
4.
Obowiązek, o którym mowa w ust. 2, dotyczy również funkcjonariuszy i pracowników CBA, przyjmowanych do służby lub pracy po wejściu w życie niniejszej decyzji. W takich przypadkach zapoznanie się z treścią polityki bezpieczeństwa informacji w CBA oraz przekazanie informacji dyrektorowi Departamentu Ochrony CBA następuje niezwłocznie po przyjęciu do służby lub pracy.
§  2.
Decyzja wchodzi w życie z dniem podpisania.
ZAŁĄCZNIKI

ZAŁĄCZNIK 

POLITYKA BEZPIECZEŃSTWA INFORMACJI W CENTRALNYM BIURZE ANTYKORUPCYJNYM

§ 1.
1.
Celem Polityki Bezpieczeństwa Informacji w Centralnym Biurze Antykorupcyjnym, zwanej dalej "PBI", jest ustanowienie zasad i reguł postępowania, które należy stosować oraz wskazanie działań, jakie należy wykonać, aby właściwie oraz bezpiecznie wykorzystywać informacje i wypełniać ustawowe zadania CBA.
2.
PBI jest realizowana w obszarach bezpieczeństwa:
1)
osobowego;
2)
fizycznego i środowiskowego;
3)
systemów i sieci teleinformatycznych.
§  2.
1.
Zwierzchni nadzór nad realizacją PBI sprawuje Szef CBA.
2.
Funkcjonariusze i pracownicy CBA są odpowiedzialni za przestrzeganie zasad PBI.
3.
Kierownicy jednostek organizacyjnych CBA oraz dyrektorzy delegatur Zarządu Operacji Regionalnych CBA, zwanych dalej "ZOR", odpowiadają za realizację PBI w podległych jednostkach organizacyjnych lub delegaturach.
4.
Zasady PBI w zakresie bezpieczeństwa osobowego, fizycznego i środowiskowego oraz bezpieczeństwa systemów i sieci teleinformatycznych, określa załącznik nr 1 do PBI.
§  3.
1.
Departament Ochrony CBA sprawuje bieżącą kontrolę stosowania PBI oraz bieżący nadzór nad jej realizacją, koordynacją rozwiązań oraz aktualizacją.
2.
Zadania, o których mowa w ust. 1, są realizowane przez:
1)
reagowanie na zdarzenia związane z bezpieczeństwem informacji i przeprowadzanie kontroli w tym zakresie;
2)
określanie wymagań bezpieczeństwa;
3)
inicjowanie i opiniowanie projektów zmian w PBI;
4)
opiniowanie i zatwierdzanie procedur wykonawczych do PBI oraz zmian w tych procedurach;
5)
prowadzenie centralnej ewidencji zasobów CBA;
6)
wskazywanie jednostki organizacyjnej CBA obowiązanej do uregulowania procedur wewnętrznych zgodnie z PBI w obszarze właściwym dla jej zakresu merytorycznego lub ze względu na zakres tematyczny tego obszaru, lub jego charakter;
7)
przedstawianie Szefowi CBA sprawozdań dotyczących realizacji PBI.
§  4.
Kierownik jednostki organizacyjnej CBA lub dyrektor delegatury ZOR realizuje PBI przez:
1)
zapoznanie podległych mu funkcjonariuszy lub pracowników z PBI;
2)
wdrażanie postanowień PBI na podstawie odrębnych przepisów właściwych do realizacji zadań jednostki organizacyjnej CBA, wynikających z jej regulaminu organizacyjnego;
3)
zapewnienie właściwych warunków do realizacji wymagań bezpieczeństwa wynikających z PBI;
4)
inicjowanie zmian w PBI, zgodnie z zakresem merytorycznym właściwym podległej jednostce organizacyjnej CBA;
5)
opracowywanie projektów procedur wykonawczych do PBI oraz ich aktualizacja zgodnie z zakresem merytorycznym właściwym podległej jednostce organizacyjnej CBA oraz ich opiniowanie;
6)
informowanie dyrektora Departamentu Ochrony CBA o zdarzeniach związanych z wdrażaniem i stosowaniem PBI w podległej mu jednostce organizacyjnej CBA lub delegaturze ZOR oraz na podległym mu obszarze funkcjonowania PBI.
§  5.
1.
Departament Ochrony CBA prowadzi centralną ewidencję zasobów CBA tworzoną w oparciu o wykazy zasobów przekazywane przez kierowników jednostek organizacyjnych CBA oraz dyrektorów delegatur ZOR.
2.
Podstawą do sporządzenia wykazów zasobów, o których mowa w ust. 1, jest klasyfikacja zasobów.
3.
Kierownicy jednostek organizacyjnych CBA i dyrektorzy delegatur ZOR przekazują wykazy zasobów do centralnej ewidencji, o której mowa w ust. 1:
1)
cyklicznie według stanu na dzień 31 grudnia danego roku kalendarzowego, do dnia 31 stycznia roku następnego;
2)
każdorazowo, na wniosek dyrektora Departamentu Ochrony CBA, w terminie przez niego wyznaczonym.
4.
Dyrektor Departamentu Ochrony CBA określi, w drodze decyzji, szczegółowe warunki, jakim muszą odpowiadać wykazy zasobów, o których mowa w ust. 1.
§  6.
1.
Każdy zasób jest ewidencjonowany we właściwej jednostce organizacyjnej CBA lub delegaturze ZOR, w rejestrach wynikających z przepisów odrębnych.
2.
Dla zasobów niezewidencjonowanych w rejestrach, o których mowa w ust. 1, rolę podstawowej ewidencji pełnią wykazy zasobów przekazywane Departamentowi Ochrony CBA przez kierowników jednostek organizacyjnych CBA lub dyrektorów delegatur ZOR.
§  7.
1.
Kierownik jednostki organizacyjnej CBA opracowuje projekt procedury wykonawczej, jej zmiany lub zmian do PBI, zgodnie z zakresem merytorycznym właściwym dla podległej jednostki organizacyjnej CBA i przedstawia go wraz z uzasadnieniem dyrektorowi Departamentu Ochrony CBA.
2.
Projekt, o którym mowa w ust. 1, opiniuje Departament Ochrony CBA pod względem zgodności z wymaganiami bezpieczeństwa, w szczególności przeprowadzając analizę ryzyka dla proponowanego rozwiązania.
3.
Dla projektu, o którym mowa w ust. 1, uzyskanie pozytywnej opinii dyrektora Departamentu Ochrony CBA jest obligatoryjne.
4.
Przepisy odrębne dotyczące metod legislacji w CBA stosuje się odpowiednio.
§  8.
1.
Departament Ochrony CBA przeprowadza analizę ryzyka w oparciu o dane z centralnej ewidencji zasobów CBA.
2.
Analiza ryzyka jest przeprowadzana przy współpracy funkcjonariuszy lub pracowników CBA posiadających odpowiednią wiedzę, wyznaczanych przez kierowników jednostek organizacyjnych CBA lub dyrektorów delegatur ZOR na wniosek Departamentu Ochrony CBA.
3.
Szczegółowe zasady sporządzania analizy ryzyka określa załącznik nr 2 do PBI.
§  9.
1.
W przypadku stwierdzenia naruszenia przepisów PBI lub procedur wykonawczych, funkcjonariusz i pracownik CBA jest obowiązany niezwłocznie powiadomić o tym fakcie swojego przełożonego. Fakt powiadomienia potwierdza się w notatce służbowej, zawierającej opis stwierdzonych naruszeń.
2.
W przypadku stwierdzenia naruszenia zagrażającego w znacznym stopniu bezpieczeństwu informacji bezpośredni przełożony wszczyna postępowanie wyjaśniające, mające na celu ustalenie przyczyn zdarzenia i stopnia zawinienia funkcjonariusza lub pracownika CBA.
3.
Jeżeli zgromadzone w trakcie postępowania wyjaśniającego materiały uzasadniają przypuszczenie naruszenia obowiązków służbowych lub pracowniczych, bezpośredni przełożony niezwłocznie przekazuje je przełożonemu dyscyplinarnemu.
§  10.
1.
Departament Ochrony CBA niezwłocznie po stwierdzeniu wystąpienia zdarzenia naruszenia, o którym mowa § 9 ust. 1 zabezpiecza zapisy z systemów bezpieczeństwa, przeprowadza czynności wyjaśniające oraz wskazuje sposoby usunięcia skutków naruszenia i zapobieżenia powstania takiego zdarzenia w przyszłości.
2.
Czynności, o których mowa w ust. 1 mogą odbywać się przy współpracy z kierownikiem jednostki organizacyjnej CBA właściwym ze względu na zakres merytoryczny obszaru PBI, którego dotyczyło zdarzenie.
§  11.
1.
Departament Ochrony CBA może wszcząć kontrolę w przedmiocie przestrzegania zasad PBI.
2.
Zasady przeprowadzania kontroli określa zatwierdzona przez Szefa CBA instrukcja kontroli.

Załącznik  Nr 1

Rozdział  I

BEZPIECZEŃSTWO OSOBOWE

§  1.
Bezpieczeństwo osobowe ma na celu ograniczenie ryzyka błędu ludzkiego, kradzieży, oszustwa lub niewłaściwego wykorzystywania informacji. Funkcjonariusz CBA powinien przestrzegać zasady "wiedzy koniecznej". Do realizacji zadań służbowych funkcjonariusz CBA powinien posiadać jedynie niezbędne prawa dostępu do zasobów, które są weryfikowane przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR.
§  2.
Ilekroć w niniejszym dokumencie jest mowa o funkcjonariuszu CBA, należy przez to odpowiednio rozumieć również pracownika CBA.
§  3.
Funkcjonariusz CBA:
1)
w czasie pełnienia służby zachowuje zasadę drogi służbowej;
2)
podejmuje tylko te działania, do których został upoważniony;
3)
nie może domniemywać swoich kompetencji w jakiejkolwiek sferze działalności CBA;
4)
nie może, bez upoważnienia (pełnomocnictwa) ustnego bądź pisemnego, wydanego przez Szefa CBA lub osobę przez niego upoważnioną, udzielać informacji na temat działalności CBA, reprezentacji CBA i zaciągania zobowiązań w imieniu CBA.
§  4.
Funkcjonariusz CBA jest obowiązany do uczestnictwa w szkoleniach z zakresu bezpieczeństwa informacji.
§  5.
Najpóźniej z dniem zakończenia stosunku służby:
1)
funkcjonariusz CBA jest obowiązany do zwrotu zasobów materialnych CBA;
2)
odbiera się od funkcjonariusza CBA oświadczenie o zobowiązaniu się do zachowania w tajemnicy informacji powziętych w związku z wykonywaniem czynności służbowych.

Rozdział  II

BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

§  6.
Przedstawienie podstawowych zasad bezpieczeństwa fizycznego i środowiskowego ma na celu zwrócenie szczególnej uwagi przez funkcjonariuszy CBA na zabezpieczanie miejsca służby przed fizycznym dostępem osób nieuprawnionych.
§  7.
1.
Funkcjonariusz CBA jest obowiązany do ochrony i nieudostępniania posiadanych służbowych kart dostępowych i identyfikacyjnych, kluczy do szaf, haseł i kodów oraz informacji o zabezpieczeniach.
2.
Szczegółowe zasady ruchu osób i pojazdów na obszarach i w obiektach CBA regulują decyzje Szefa CBA.
§  8.
1.
Funkcjonariusz CBA jest obowiązany do dbania o powierzone zasoby.
2.
Sieć zasilania komputerowego jest wydzielona i dysponuje własnymi zabezpieczeniami. Do sieci tej nie wolno podłączać urządzeń innych niż teleinformatyczne.
3.
Urządzenia powinny być oznaczone i zaewidencjonowane.
4.
W przypadku stwierdzenia utraty lub kradzieży zasobu należy natychmiast poinformować bezpośredniego przełożonego oraz Departament Ochrony CBA.
5.
Zasoby będące własnością CBA może wynieść poza teren siedziby CBA wyłącznie funkcjonariusz CBA do tego upoważniony w związku z wykonywaniem czynności służbowych.
§  9.
1.
Funkcjonariusz CBA jest obowiązany do stosowania zasady "czystego biurka"; wszystkie zasoby należy zabezpieczyć przed nieuprawnionym dostępem.
2.
Po zakończeniu służby dokumenty, wymienne i zewnętrzne nośniki danych są przechowywane w zamykanych i odpowiednio zabezpieczonych szafach.
3.
Po zakończeniu służby urządzenia wykorzystywane do pracy biurowej należy wyłączyć. Nie dotyczy to urządzeń, które ze względu na wykonywaną funkcję z założenia są przeznaczone do pracy ciągłej, np. faksów.
4.
Zasada wyłączania sprzętu oraz "czystego biurka" nie dotyczy pomieszczeń i sprzętu, na którym prowadzone są analizy materiału o charakterze długotrwałym i ciągłym, przy których nie jest wymagana stała obecność funkcjonariusza. W takim przypadku niezbędne jest odpowiednie zabezpieczenie pomieszczenia, w którym ten sprzęt i materiały się znajdują.

Rozdział  III

BEZPIECZEŃSTWO SYSTEMÓW I SIECI TELEINFORMATYCZNYCH

§  10.
Zasady bezpieczeństwa systemów i sieci teleinformatycznych wprowadzają regulacje, których przestrzeganie umożliwia ochronę informacji wytwarzanych, przetwarzanych, przechowywanych i przesyłanych w tych systemach i sieciach w przedmiocie ich poufności, integralności i dostępności, oraz zapewnią odpowiedni poziom bezpieczeństwa dla sprzętu teleinformatycznego CBA.
§  11.
1.
Wytwarzanie, przetwarzanie, przechowywanie i przesyłanie informacji jest dozwolone wyłącznie w systemach i zbiorach informacyjnych dopuszczonych do eksploatacji.
2.
Użytkownicy są obowiązani do przestrzegania zasad bezpieczeństwa systemów i sieci teleinformatycznych, w szczególności:
1)
niezwłocznego informowania administratora systemu o wszelkich nieprawidłowościach w pracy systemu;
2)
zakazu samodzielnego instalowania oprogramowania na urządzeniach służbowych;
3)
zakazu gromadzenia i przechowywania w urządzeniach służbowych danych niezwiązanych z realizacją zadań służbowych, w szczególności plików multimedialnych;
4)
zakazu celowego opracowywania, generowania, kompilowania, kopiowania, rozpowszechniania, uruchamiania lub próby wprowadzania szkodliwych kodów komputerowych, określanych powszechnie jako "kody złośliwe", np. wirusy, trojany itp.;
5)
zasad ochrony antywirusowej:
a)
sprawdzania nośników zewnętrznych przed ich użyciem programem antywirusowym,
b)
przestrzegania zasad użytkowania programu antywirusowego,
c)
natychmiastowego powiadamiania administratora o nieprawidłowościach w pracy systemu;
6)
zakazu przetwarzania informacji służbowych na komputerach podłączonych do sieci Internet. W uzasadnionych przypadkach zgodę na przetwarzanie informacji wydaje kierownik jednostki organizacyjnej CBA w uzgodnieniu z dyrektorem Departamentu Ochrony CBA.
3.
Zasady określone w ust. 2 pkt 2, 5, 6 nie dotyczą stanowisk specjalistycznych, na których funkcjonariusz CBA musi mieć możliwość pełnej kontroli urządzeń i oprogramowania wykorzystywanego do działań służbowych za zgodą kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR.
4.
Szczegółowe zasady wnoszenia i wynoszenia sprzętu, urządzeń oraz nośników służących do rejestracji, powielania, przetwarzania i wymiany informacji, niestanowiących mienia CBA na obszarach i w obiektach CBA regulują odrębne decyzje Szefa CBA.
§  12.
1.
Funkcjonariusz CBA nie może samodzielnie zbywać lub utylizować sprzętu komputerowego lub nośników danych CBA.
2.
W przypadku tymczasowego, np. w celach serwisowych, lub trwałego, np. na podstawie umowy sprzedaży, darowizny, przekazywania osobom trzecim sprzętu komputerowego wszelkie nośniki pamięci nieulotnej pozostają w CBA, w szczególności dyski twarde, pamięci typu flash lub dyskietki.
3.
Nośniki wycofywane z użycia są przekazywane w celu ich zniszczenia. Nośnik niszczy się komisyjnie w sposób trwały, uniemożliwiający odczytanie zawartych na nich informacji. Z przebiegu zniszczenia nośnika sporządza się protokół.
§  13.
1.
Sieć CBA złożona jest z systemów teleinformatycznych w poszczególnych lokalizacjach i rozwiązań telekomunikacyjnych zapewniających skuteczne połączenia.
2.
Sieć z dostępem do Internetu jest fizycznie oddzielona od pozostałych systemów sieci teleinformatycznych CBA.
3.
Zakazane jest samowolne uzyskiwanie dostępu do Internetu lub innych zewnętrznych systemów sieci teleinformatycznych.
4.
Zakazane jest podłączanie do sieci komputerowej CBA własnych urządzeń.
5.
Urządzenia komputerowe i sieciowe są skonfigurowane w sposób umożliwiający rejestrację aktywności urządzenia oraz działania użytkowników. Może to nie dotyczyć specjalistycznych stanowisk przeznaczonych do realizacji czynności procesowych prowadzonych na materiale dowodowym. Decyzję w tej sprawie wydaje kierownik jednostki organizacyjnej CBA lub dyrektor delegatury ZOR.
§  14.
1.
Dostęp do systemów i sieci teleinformatycznych CBA posiadają wyłącznie upoważnieni użytkownicy-funkcjonariusze CBA uprawnieni do korzystania z zasobów teleinformatycznych.
2.
Użytkownicy są obowiązani do logowania się do systemów i sieci teleinformatycznych CBA tylko na własne konto założone przez administratora systemu.
3.
Dostęp jest indywidualnie zdefiniowany dla każdego użytkownika. Użytkownik ma dostęp jedynie do zasobów, które są mu niezbędne do wykonywania obowiązków służbowych.
4.
Tożsamość każdego użytkownika systemów i sieci teleinformatycznych CBA jest jednoznacznie określona i sprawdzana przed rozpoczęciem pracy w systemie (uwierzytelnienie).
5.
Autoryzacja w systemach i sieciach teleinformatycznych CBA odbywa się z wykorzystaniem indywidualnych haseł i kodów dostępu.
6.
Użytkownicy są obowiązani w szczególności do:
1)
nieujawniania haseł i kodów dostępu do kont w systemach i sieciach teleinformatycznych CBA;
2)
natychmiastowej zmiany hasła lub kodu dostępu w przypadku podejrzenia jego ujawnienia;
7.
Użytkownik ponosi odpowiedzialność za użycie zasobów teleinformatycznych CBA przy wykorzystaniu jego loginu i hasła.
8.
Kierownicy jednostek organizacyjnych CBA i dyrektorzy delegatur ZOR są obowiązani informować administratorów systemu odpowiedzialnych za poszczególne konta o zmianach w zakresie obowiązków podległych funkcjonariuszy CBA skutkujących koniecznością zmiany ich uprawnień jako użytkowników.
9.
Nadanie lub zmiana uprawnień użytkownika następuje wyłącznie na pisemny wniosek kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR.
10.
Spis osób upoważnionych do korzystania z systemów i sieci teleinformatycznych CBA, zawierający co najmniej imię, nazwisko oraz identyfikator użytkownika, przechowywany jest we właściwej jednostce organizacyjnej CBA lub delegaturze ZOR.
§  15.
1.
W przypadku drukowania lub oczekiwania na wydrukowanie informacji w CBA, użytkownik nie powinien oddalać się od drukarki, na której dokonywany jest wydruk. Zasada ta nie obowiązuje, jeśli drukarka znajduje się w zabezpieczonym miejscu, chronionym przed dostępem osób nieupoważnionych.
2.
Przeglądanie wydrukowanych informacji jest możliwe wyłącznie przez uprawnionych do tego funkcjonariuszy do tego uprawnione. Osoba oczekująca na wydrukowanie informacji musi być upoważniona do jej przeglądania.
3.
Funkcjonariuszy CBA obowiązuje zasada regularnego sprawdzania po zakończeniu czasu służby, czy na drukarkach, faksach lub kserokopiarkach nie pozostawiono nieodebranych wydruków. Wydruki takie zabezpieczane są do czasu odebrania ich przez osoby, które je wykonały.
4.
Zbędne kopie dokumentów są niszczone w niszczarkach gwarantujących poziom zabezpieczenie na poziomie 5 wg normy DIN 32 757.
§  16.
1.
Funkcjonariusze CBA wykorzystują Internet w celach służbowych. CBA ma prawo blokować strony internetowe zawierające treści obraźliwe lub propagujące ideologie sprzeczne z obowiązującym prawem.
2.
Dostęp do Internetu jest możliwy po nadaniu odpowiednich uprawnień.
3.
Dostęp do Internetu jest dozwolony wyłącznie za pośrednictwem środków i rozwiązań dostarczonych przez CBA.
4.
Dostęp dla celów służbowych do płatnych usług internetowych, takich jak subskrypcje fachowych czasopism w formie elektronicznej, jest możliwy dopiero po wykupieniu subskrypcji przez CBA.
5.
Dostęp do grup dyskusyjnych (USENET), list dyskusyjnych i dystrybucyjnych oraz prowadzenia rozmów przez Internet i innych form automatycznego otrzymywania informacji musi być ograniczony tylko do zagadnień wchodzących w zakres obowiązków funkcjonariusza.
6.
W przypadku korzystania z Internetu w miejscu pracy lub służby zabrania się prowadzenia gier sieciowych, uprawiania hazardu i uczestniczenia w grach losowych.
§  17.
1.
Użytkownik stosuje indywidualne hasło do służbowej skrzynki poczty elektronicznej.
2.
Wiadomości elektroniczne opracowane na polecenie przełożonego, w trakcie wykonywania obowiązków służbowych lub w związku z ich wykonywaniem, przechowywane przy pomocy systemu informatycznego CBA stanowią własność CBA.
3.
Dostęp funkcjonariuszy do treści wiadomości, których nie są wytwórcami lub adresatami może mieć miejsce tylko na zasadach zawartych w odrębnych przepisach.
4.
Poczta elektroniczna jest udostępniana funkcjonariuszom wyłącznie do wypełniania obowiązków służbowych, z pouczeniem, iż poczta elektroniczna nie gwarantuje ochrony danych przesyłanych za jej pomocą.
5.
Zakazane jest wysyłanie pocztą elektroniczną wiadomości zawierających treści obraźliwe lub propagujące ideologie sprzeczne z obowiązującym prawem.
6.
Funkcjonariusze posiadający dostęp do poczty elektronicznej w CBA ponoszą odpowiedzialność za dobry wizerunek CBA.
7.
CBA zastrzega sobie prawo do odfiltrowywania wybranych załączników niezwiązanych z działalnością CBA.
8.
Zabrania się przesyłania pocztą elektroniczną informacji niejawnych.
§  18.
1.
Funkcjonariusze CBA korzystający z informacji należących do CBA poza siedzibą Biura są obowiązani zachować szczególne środki bezpieczeństwa.
2.
Zakazane jest korzystanie z oprogramowania pozwalającego na zdalny dostęp i zarządzanie komputerem bez odpowiednich upoważnień.
3.
Funkcjonariusze CBA podróżujący z komputerami przenośnymi są obowiązani stosować odpowiednie zasady bezpieczeństwa. Komputery przenośne można transportować wyłącznie jako bagaż podręczny. Zakazane jest pozostawianie ich bez dozoru w miejscach, takich jak przechowalnie bagażu, wnętrze samochodu osobowego lub innych miejscach zwiększających ryzyko ich utraty.
4.
Informacje wykorzystywane w celach służbowych znajdujące się w komputerach przenośnych są przechowywane na partycjach lub plikach zaszyfrowanych.
5.
Funkcjonariusze CBA posiadający służbowe telefony komórkowe są odpowiedzialni za używanie ich w sposób adekwatny do poziomu poufności informacji przekazywanych przy ich użyciu. Dane kontaktów zapisanych w książkach telefonicznych nie mogą jednoznacznie identyfikować ich z CBA.
§  19.
1.
Istotne informacje wykorzystywane w celach służbowych, posiadają kopie zapasowe umożliwiające ich odtworzenie i kontynuowanie działalności przez CBA w przypadku awarii systemu informatycznego lub stanowiska komputerowego.
2.
Do obowiązków funkcjonariuszy CBA należy przechowywanie istotnych informacji w sposób umożliwiający ich odzyskanie.
3.
Zapisanie pliku na stacji roboczej nie gwarantuje dostępności informacji. Funkcjonariusz CBA jest odpowiedzialny za bezpieczeństwo informacji.
4.
Za wykonywanie kopii bezpieczeństwa centralnych systemów CBA odpowiedzialni są ich administratorzy. Kopie bezpieczeństwa przechowywane są poza lokalizacją serwerowni.

Załącznik  Nr 2

METODA ANALIZY RYZYKA BEZPIECZEŃSTWA ZASOBÓW CENTRALNEGO BIURA ANTYKORUPCYJNEGO

Spis treści

1. Wstęp

1.1. Cel dokumentu

1.2. Adresat dokumentu

1.3. Wymagania i standardy

1.4. Weryfikacja i aktualizacja

1.5. Słownik terminów i skrótów

2. Metoda analizy ryzyka

2.1. Wprowadzenie

2.2. Warunki wstępne

2.3. Analiza i klasyfikacja zasobów

2.4. Szacowanie szkód

2.5. Analiza zagrożeń

2.6. Analiza podatności

2.7. Analiza i prezentacja ryzyka

Załącznik nr 1. Schemat procesu analizy ryzyka bezpieczeństwa CBA

Załącznik nr 2. Przykładowa lista zagrożeń dla systemu informatycznego

1. Wstęp

Dokument niniejszy stanowi załącznik do Polityki Bezpieczeństwa Informacji w Centralnym Biurze Antykorupcyjnym i zawiera opis metody analizy ryzyka bezpieczeństwa zasobów.

1.1. Cel dokumentu

Celem dokumentu jest usystematyzowanie podejścia do tematyki prowadzenia analizy ryzyka bezpieczeństwa zasobów CBA oraz dostarczenie wytycznych dotyczących metody analizy ryzyka bezpieczeństwa zasobów w obszarze zabezpieczeń informatycznych, zabezpieczeń fizycznych, rozwiązań organizacyjno-prawnych.

1.2. Adresat dokumentu

Dokument jest przeznaczony dla pracowników i funkcjonariuszy CBA biorących udział w procesie analizowania i klasyfikowania zasobów CBA oraz zarządzania ryzykiem bezpieczeństwa zasobów CBA.

1.3. Wymagania i standardy

Metoda analizy ryzyka bezpieczeństwa zasobów CBA oparta została na wymaganiach i standardach zawartych w dokumentach:

a) "Polityka bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym", stanowiącej załącznik do decyzji nr 80/09 Szefa Centralnego Biura Antykorupcyjnego z dnia 12 października 2009 r. w sprawie wprowadzenia polityki bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym,

b) PN-ISO/IEC 27001 - Technika informatyczna. Technika Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania,

c) PN-ISO/IEC 17799 - Technika informatyczna. Technika Bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji,

d) ISO/IEC 13335 - Guidelines for the management of IT Security.

1.4. Weryfikacja i aktualizacja

Dla dokumentu oraz metody analizy ryzyka bezpieczeństwa zasobów CBA przyjęto cykliczny tryb przeprowadzania jej weryfikacji i aktualizacji, minimum raz w roku.

1.5. Słownik terminów i skrótów

Dostępność - właściwość zasobów bycia dostępnymi i użytecznymi dla podmiotu uprawnionego na żądanie,

Integralność - właściwość zapewniająca, że informacja nie została zmieniona lub zniszczona w sposób nieautoryzowany,

Osoba nieuprawniona - osoba niepełniąca służby w CBA oraz funkcjonariusz CBA nieposiadający stosownego upoważnienia,

Podatność - słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie,

Poufność - właściwość polegająca na udostępnieniu zasobu tylko osobom lub podmiotom uprawnionym,

Przetwarzanie informacji - wszelkie operacje wykonywane na informacji, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie i przesyłanie,

Ryzyko - prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu, aby spowodować straty lub zniszczenie zasobów,

Ryzyko bezpieczeństwa - kombinacja prawdopodobieństwa niepożądanego zdarzenia i jego konsekwencji.

Ryzyko akceptowalne - ryzyko bezpieczeństwa zredukowane środkami ochrony do poziomu zatwierdzonego przez uprawnione osoby,

System informatyczny lub system - zespół współpracujących ludzi, urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania informacji,

Zabezpieczenia - zabezpieczenia informatyczne i kryptograficzne, fizyczne i techniczne oraz stosowane w tym zakresie rozwiązania organizacyjno-prawne,

Zagrożenie - potencjalna przyczyna niepożądanego incydentu związanego z bezpieczeństwem informacji, który może wywołać szkodę dla CBA,

Zasoby - wszystko co ma wartość dla CBA, w szczególności osoby, informacje oraz mienie.

2. Metoda analizy ryzyka

2.1. Wprowadzenie

Przepisy zawarte w dokumencie "Polityka bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym", zatwierdzonym przez Szefa CBA, decydują o oparciu procesu zarządzania ryzykiem bezpieczeństwa zasobów na metodzie analizy ryzyka, na którą składają się analiza i klasyfikacja zasobów, szacowanie strat, analiza zagrożeń, analiza podatności, obliczanie ryzyka oraz określenie wymogów bezpieczeństwa. Schemat procesu analizy ryzyka bezpieczeństwa zasobów przedstawiony został w załączniku nr 1.

W metodzie zawarto szczegółowy opis analizy ryzyka bezpieczeństwa zasobów CBA. Obszarem stosowania metody analizy ryzyka bezpieczeństwa zasobów są działania wykonywane przez funkcjonariuszy i pracowników CBA oraz ich środowisko pracy, systemy informatyczne CBA i ich otoczenie oraz elementy organizacyjno-prawne związane z funkcjonowaniem CBA. W metodzie brane są pod uwagę wyłącznie zagrożenia, których potencjalne skutki można redukować poprzez zastosowanie zabezpieczeń.

2.2. Warunki wstępne

Warunkiem koniecznym dla rozpoczęcia procesu analizy ryzyka dla zasobu jest uzyskanie kompletu informacji opisujących dany zasób, w trybie określonym przez politykę bezpieczeństwa informacji.

W przypadku kiedy zasób jest nowoprojektowanym systemem lub siecią teleinformatyczną niezbędne jest udostępnienie specyfikacji funkcjonalnej systemu, wymagań bezpieczeństwa oraz koncepcji technicznej systemu. W przypadku systemu informatycznego znajdującego się w eksploatacji, warunkiem koniecznym jest udostępnienie dokumentacji dotyczącej sposobu działania systemu opracowanej oraz dokumentacji technicznej systemu, dokumentacji zmian w systemie, wymagań bezpieczeństwa oraz opracowanych procedur bezpieczeństwa.

2.3. Analiza i klasyfikacja zasobów

Celem analizy i klasyfikacji zasobów jest identyfikacja zasobów oraz przypisanie do nich atrybutów takich jak: nazwa zasobu, kierownik jednostki organizacyjnej CBA lub dyrektor delegatury ZOR odpowiedzialny za zasób, wartość zasobu, itp., które stanowić będą podstawę dla analizy ryzyka.

Identyfikacja zasobów jest czynnością, która prowadzi do określenia, jakie zasoby należy chronić. Identyfikacja zgodnie z przyjętą klasyfikacją w Polityce Bezpieczeństwa Informacji w Centralnym Biurze Antykorupcyjnym obejmuje co najmniej następujące zasoby:

* Zasoby materialne, w szczególności:

- sprzęt teleinformatyczny i infrastruktura,

- techniczne nośniki informacji,

- budynki, specjalistyczne wyposażenie wnętrz,

- nośniki kopii zapasowych,

- wydruki,

- nośniki z oprogramowaniem,

- instrukcje lub inne zalecenia użytkowania urządzeń specjalistycznych,

- zbiory danych osobowych, w tym kartoteki,

- dane audytu, kontroli;

* Zasoby niematerialne, w szczególności:

- informacje wytwarzane, gromadzone, przetwarzane, i przesyłane w systemach i sieciach teleinformatycznych,

- hasła, kody dostępu,

- informacje na temat środków bezpieczeństwa stosowanych w CBA,

- plany ciągłości działania w sytuacjach krytycznych,

- informacje uzyskane w związku z pełnieniem służby lub pracy w CBA,

- inne informacje wrażliwe.

Identyfikacja zasobów dla systemów i sieci teleinformatycznych dokonywana jest poprzez analizę dokumentacji wymienionej w podrozdziale 2.2 (patrz Tabela nr 1).

Tabela 1. Zasoby systemu

SprzętNośniki informacji
1. Zasób 11. Zasób 4
2. Zasób 22. Zasób 5
3. Zasób 33. Zasób 6
......
OprogramowaniePodmioty uprawnione
1. Zasób 71. Zasób 9
2. Zasób 82. Zasób 10
......
Informacja
1. Zasób 11
...

Proces identyfikacji zasobów zostanie wsparty kontaktami w trybie roboczym z kierownikiem jednostki organizacyjnej CBA lub dyrektorem delegatury ZOR odpowiedzialnym za zasób.

2.4. Szacowanie szkód

Celem szacowania szkód jest określenie potencjalnego (maksymalnego) rozmiaru szkód, które mogą powstać wskutek utraty przez zasób cech poufności, integralności i dostępności. Szacunek strat dokonywany jest przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR odpowiedzialnej za zasób.

a) Oszacowanie szkód przy utracie cechy poufności zasobu polega na przyporządkowaniu wartości całkowitych z przedziału od 1 do 4 w zależności od kryterium istotności zasobu oraz w przypadku informacji niejawnych - klauzuli ujawnionej informacji.

WartośćSzkodaKryterium istotności zasobu
1Niska- nieuprawnione ujawnienie zasobu nie wpłynie na realizację podstawowych ustawowych celów i zadań CBA,
2Podwyższona- nieuprawnione ujawnienie zasobu nieznacznie utrudni realizację podstawowych celów i zadań CBA lub ujawniona informacja posiadała klauzulę zastrzeżone,
3Wysoka- nieuprawnione ujawnienie zasobu utrudni realizację podstawowych celów i zadań CBA lub ujawniona informacja posiadała klauzulę poufne,
4Maksymalna- nieuprawnione ujawnienie zasobu uniemożliwi realizację podstawowych celów i zadań CBA lub ujawniona informacja stanowiła tajemnicę państwową.

Dodatkowym kryterium przy szacowaniu szkód jest ilość informacji zasobu. Nagromadzenie informacji może zadecydować o podniesieniu poziomu szkód w stosunku do poziomu wynikającego z opisu skali.

Uzasadnienie wyboru dokonanego przez kierownika jednostki organizacyjnej CBA lub dyrektora Delegatury ZOR odpowiedzialnej za zasób, dotyczącego wartości potencjalnej szkody przy utracie cechy poufności przez zasób przedstawia tabela nr 2.

b) Oszacowanie szkód przy utracie cechy integralności zasobu polega na przyporządkowaniu wartości całkowitych z przedziału od 1 do 4 w zależności od kryterium istotności zasobów.

WartośćSzkodaKryterium istotności zasobu
1Niska- nieuprawnione zmiany zasobu spowodują negatywne dla CBA skutki, ograniczone do poszczególnych osób lub jednej jednostki organizacyjnej CBA,
2Podwyższona- nieuprawnione zmiany zasobu spowodują negatywne skutki ograniczone do kilku jednostek organizacyjnych CBA,
3Wysoka- nieuprawnione zmiany zasobu spowodują negatywne skutki dla instytucji CBA na skalę krajową,
4Maksymalna- nieuprawnione zmiany zasobu spowodują negatywne dla CBA skutki na skalę międzynarodową.

Uzasadnienie wyboru dokonanego przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR odpowiedzialnej za zasób, dotyczącego wartości potencjalnej szkody przy utracie cechy integralności przez zasób przedstawia tabela nr 2.

c) Oszacowanie szkód przy utracie cechy dostępności zasobu polega na przyporządkowaniu wartości całkowitych z przedziału od 1 do 4 w zależności od kryterium istotności zasobu.

WartośćSzkodaKryterium istotności zasobu
1Niska- utrata dostępności zasobu może być dłuższa niż 120 godzin,
2Podwyższona- utrata dostępności zasobu nie może być dłuższa niż 120 godzin.
3Wysoka- utrata dostępności zasobu nie może być dłuższa niż 48 godzin,
4Maksymalna- utrata dostępności zasobu nie może być dłuższa niż 12 godzin.

Uzasadnienie wyboru dokonanego przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR odpowiedzialnej za zasób, dotyczącego wartości potencjalnej szkody przy utracie cechy dostępności przez zasób przedstawia tabela nr 2.

Wynikiem szacunku szkód są trzy wartości określające potencjalne, maksymalne szkody, jakie mogą wystąpić w przypadku utraty przez zasób cechy poufności, integralności oraz dostępności (patrz Tabela nr 2).

Tabela 2. Tabela Szkód

Cecha zasobuWartość szkód dla zasobuUzasadnienie wyboru
PoufnośćSpUzasadnienie A
IntegralnośćSiUzasadnienie B
DostępnośćSdUzasadnienie C

2.5. Analiza zagrożeń

Analiza zagrożeń ma na celu identyfikację, klasyfikację i charakterystykę zagrożeń, których skutkiem może być utrata integralności, poufności lub dostępności zasobu oraz określenie specyficznych cech tych zagrożeń.

Za czynniki niosące zagrożenia dla zasobów przyjęto:

* człowieka,

* sprzęt,

* oprogramowanie,

* zdarzenia losowe.

a) Identyfikacja zagrożeń polega na ustaleniu listy zagrożeń dla zasobu. Na liście umieszczone zostają zagrożenia, których zmaterializowanie zagraża bezpieczeństwu zasobu (patrz Tabela nr 3). Identyfikacja zagrożeń wspierana jest kontaktami w trybie roboczym z kierownikiem jednostki organizacyjnej CBA lub dyrektorem delegatury ZOR odpowiedzialnej za zasób.

Opracowana lista potencjalnych zagrożeń dla zasobów pozwoli na dalszym etapie wytypować obszary, w których powinny zostać wprowadzone dodatkowe zabezpieczenia.

Tabela 3. Lista zagrożeń dla zasobów

Lp.ZasóbZagrożenie
1Zasób 1Zagrożenie A

Zagrożenie B

Zagrożenie C

2Zasób 2Zagrożenie D

Zagrożenie E

Zagrożenie F

b) Klasyfikacja zagrożeń dla wspomnianych wyżej zasobów jest prowadzona w czterech kategoriach związanych z przyczyną ich powstania. Są to zagrożenia związane z:

I - działaniem osób nieuprawnionych, (np. dostęp do zasobu przez nieuprawnionego pracownika lub funkcjonariusza CBA),

II - działaniem o charakterze przestępczym (np. atak na zasób z zewnątrz),

III - zdarzeniem losowym (np. awaria sprzętu, pożar),

IV - niesprawnymi lub źle zastosowanymi zabezpieczeniami (np. tolerowanie lub nieumyślne powodowanie luk w systemie zabezpieczeń).

c) Charakterystyka zagrożeń polega na określeniu dla każdego zagrożenia: (patrz Tabela nr 4)

* kategorii,

* zasobu,

* szczegółowego opisu zagrożenia,

* wpływu zagrożenia na poufność, integralność i dostępność zasobu.

Tabela 4. Charakterystyka zagrożeń

NrZagrożenieKategoriaZasóbSzczeg. opis zagroż.Oddziaływanie na cechę zasobu
PoufnośćIntegralnośćDostępność
1AIZasób 1TakNieNie
2BIIIZasób 2NieTakTak

Wynikiem analizy zagrożeń jest sklasyfikowana lista zagrożeń dla poszczególnych zasobów. Przykładowa lista zagrożeń przedstawiona została w Załączniku 2.

Dla każdego zasobu powinna zostać opracowana indywidualna lista zagrożeń, jednakże w przypadku zidentyfikowania zasobów możliwych do połączenia w grupy, pomimo różnych jednostek organizacyjnych CBA lub delegatur ZOR odpowiedzialnych za pojedyncze zasoby powinno się je analizować jako grupę zasobów.

2.6 Analiza podatności

Celem analizy podatności jest określenie wrażliwości zasobu, a w konsekwencji informacji, na zagrożenia zidentyfikowane w wyniku analizy zagrożeń. Etap ten, realizowany przy udziale kierownika jednostki organizacyjnej lub dyrektora delegatury ZOR CBA odpowiedzialnej za zasób, umożliwia znalezienie słabych punktów związanych z bezpieczeństwem zasobu (przy uwzględnieniu istniejących zabezpieczeń), które mogą zostać wykorzystane przez zagrożenia.

Analiza podatności prowadzona jest oddzielnie dla trzech cech zasobu: poufności, integralności oraz dostępności.

Na analizę podatności składają się dwa etapy:

* Określenie zabezpieczeń,

* Oszacowanie podatności zasobów na zagrożenia.

a) Określenie zabezpieczeń polega na identyfikacji istniejących zabezpieczeń dla poszczególnych zasobów (patrz Tabela nr 5).

Nieefektywne zabezpieczenia mogą stanowić dodatkowy słaby punkt.

Pod uwagę brane są 3 grupy zabezpieczeń:

* zabezpieczenia informatyczne i kryptograficzne (np. mechanizmy kontroli dostępu, szyfrowanie),

* zabezpieczenia fizyczne i techniczne (np. służby ochronne, alarmy),

* rozwiązania organizacyjno-prawne (np. kontrole, procedury, instrukcje, akty prawne).

Tabela 5. Istniejące zabezpieczenia

ZagrożenieZabezpieczenia
PoufnośćIntegralnośćDostępność
Zagrożenie AŚrodek 1Środek 3Środek 3
Zagrożenie BŚrodek 2Środek 4Brak

b) Oszacowanie podatności zasobów na zagrożenia polega na określeniu poziomu słabości zasobów, która może być wykorzystana przez zagrożenia.

W szacowaniu podatności brane są pod uwagę:

* wymogi zachowania poufności, integralności, dostępności zasobu,

* zidentyfikowane zasoby,

* wyniki analizy zagrożeń,

* istniejące zabezpieczenia.

Oszacowanie podatności zasobów na poszczególne zagrożenia dokonywane jest przy zastosowaniu skali czterostopniowej (wartości całkowitych z przedziału od 1 do 4).

WartośćPodatnośćOpis
1Niska- nakłady niezbędne na przełamanie stosowanych zabezpieczeń wielokrotnie przewyższają potencjalne korzyści,
2Podwyższona- nakłady niezbędne na przełamanie stosowanych zabezpieczeń przewyższają potencjalne korzyści,
3Wysoka- nakłady niezbędne na przełamanie stosowanych zabezpieczeń są niższe od potencjalnych korzyści,
4Maksymalna- nakłady niezbędne na przełamanie stosowanych zabezpieczeń są wielokrotnie niższe od potencjalnych korzyści.

Wynikiem analizy podatności jest lista podatności poszczególnych zasobów na zidentyfikowane zagrożenia według powyższej skali (patrz Tabela nr 6).

Tabela 6. Podatność zasobów na zagrożenia

Lp.ZagrożenieZasóbWartość podatności zasobu
PoufnośćIntegralnośćDostępność
1Zagrożenie AZasób 1XYZ
2Zagrożenie BZasób 1X1Y1Z1
3Zagrożenie CZasób 1x2Y2Z2
4Zagrożenie DZasób 2x3Y3Z3
5Zagrożenie EZasób 2x4Y4Z4
6Zagrożenie FZasób 2x5Y5Z5

2.7. Analiza i prezentacja ryzyka

Celem procesu analizy ryzyka jest ocena i przedstawienie ryzyka dla poszczególnych zagrożeń zidentyfikowanych dla rozpatrywanego zasobu.

Prezentacji ryzyka dokonuje się w postaci czterech rysunków (map ryzyka) opartych o poniższy wzorzec oddzielnie dla każdego atrybutu bezpieczeństwa informacji (tj. poufności, integralności i dostępności) oraz łącznie dla wszystkich atrybutów.

Rysunek nr 1 Wykres Ryzyka dla zasobu (Mapa ryzyka)

grafika

Ryzyko dla poszczególnych zagrożeń jest zaznaczane na powyższym rysunku w postaci kółek (dla atrybutu poufności), kwadratów (dla atrybutu integralności) i trójkątów (dla atrybutu dostępności), przy których podaje się liczbę zagrożeń o danym poziomie ryzyka.

Poziom ryzykaZakresSugestie
Minimalny1<= Skutki < 3

1<= Podatność < 3

Akceptacja ryzyka, normalny nadzór.
Średni przy wysokich szkodach3<= Skutki <= 4

1<= Podatność < 3

Konieczność wzmożonego nadzoru. Wdrożenie dodatkowych środków ochrony (działania ograniczające).
Średni przy wysokiej podatności1<= Skutki < 3

3<= Podatność <= 4

Wdrożenie dodatkowych środków ochrony (działania ograniczające) i konieczność wzmożonego nadzoru.
Maksymalny3<= Skutki <= 4

3<= Podatność <= 4

Pilne wdrożenie dodatkowych środków ochrony (działania ograniczające) i konieczność ciągłego nadzoru.

W podsumowaniu analizy ryzyka wyszczególnione zostają zagrożenia, dla których jednocześnie skutki i podatność mają wartości wyższe lub równe 3 (dla tych zagrożeń podawane są przyczyny wysokiego oszacowania ryzyka).

Po przeprowadzeniu czynności i działań związanych z analizą ryzyka bezpieczeństwa zasobów, przygotowana zostaje dokumentacja dotycząca przeprowadzonej analizy ryzyka.

W przypadku, gdy nie wyszczególniono w podsumowaniu analizy ryzyka zagrożeń, dla których oszacowano maksymalny lub średni przy wysokiej podatności poziom ryzyka, dokumentacja analizy ryzyka zostaje przekazana kierownikowi jednostki organizacyjnej CBA lub dyrektorowi delegatury ZOR odpowiedzialnej za zasób w celu zatwierdzenia poziomu ryzyka akceptowalnego.

Natomiast w przypadku wyszczególnienia w podsumowaniu analizy ryzyka zagrożeń, dla których oszacowano maksymalny lub średni przy wysokiej podatności, końcowym etapem analizy ryzyka, następującym przed przekazaniem dokumentacji, jest przedstawienie uzyskanych wyników zespołowi ekspertów. W skład zespołu ekspertów wchodzą przedstawiciel(e): jednostki organizacyjnej CBA lub delegatury ZOR odpowiedzialnej za zasób, Departamentu Ochrony i Zarządu Analiz i Ewidencji CBA. Na podstawie przedstawionych wyników, zespół ekspertów wyciąga wnioski dotyczące możliwości zaakceptowania ryzyka na wyliczonych poziomach lub zastosowania dodatkowych zabezpieczeń mogących zredukować poziom ryzyka. Wnioski zespołu ekspertów, w formie rekomendacji (patrz Tabela nr 7), przekazywane są wraz z pozostałą dokumentacją dotyczącą przeprowadzonej analizy ryzyka kierownikowi jednostki organizacyjnej CBA lub dyrektorowi delegatury ZOR odpowiedzialnej za zasób w celu zatwierdzenia.

Tabela 7. Rekomendacje zespołu ekspertów

Rekomendacje zespołu ekspertówData:
Nazwa zasobu:dd, mm, rrrr
Lp.RekomendacjeUwagi Zatwierdzającego
1Rekomendacja 1
2Rekomendacja 2
3Rekomendacja 3
4Rekomendacja 4
......
Skład zespołu ekspertów:
1.imię i nazwiskofunkcjapodpis
2.
3.
4.
...
ZATWIERDZAM:
imię i nazwiskoPodmiot odpowiedzialny podpis

ZAŁĄCZNIK  Nr 1

SCHEMAT PROCESU ANALIZY RYZYKA BEZPIECZEŃSTWA CBA

grafika

ZAŁĄCZNIK  Nr 2

PRZYKŁADOWA LISTA ZAGROŻEŃ DLA SYSTEMU INFORMATYCZNEGO

Lp.ZagrożenieKategoriaZasóbSzczegółowy opis zagrożeniaOddziaływanie na zasób
PoufnośćIntegralnośćDostępność
12345678
1.Atak socjotechnicznyIIOsobyWyłudzenieTakTakTak
2.Atak technologiczny wewnętrzny, zewnętrznyIVSiećNa systemTakTakTak
3.Atak technologiczny wewnętrzny, zewnętrznyIVSiećNa aplikacjęTakTakTak
4.Awaria aplikacjiIIIAplikacjaSamoistna awariaTakTakTak
5.Awaria bazy danychIIIBaza DanychSamoistna awariaTakTakTak
6.Awaria drukarkiIIIDrukarkaSamoistna awariaNieNieTak
7.Awaria linii transmisyjnejIIISzyfratorSamoistna awariaNieNieTak
8.Awaria lub zakłócenie zasilania dedykowanegoIVUPSSamoistna awariaNieNieTak
9.Awaria PCIIIPCSamoistna awariaNieNieTak
10.Awaria serweraIIISerwerSamoistna awariaNieTakTak
11.Awaria sieci strukturalnej, składników sieciIIILANPrzerwana łącznośćNieTakTak
12.Awaria systemu operacyjnegoIIISystem OperacyjnySamoistna awariaNieTakTak
13.Awaria szyfratora kanałówIIISzyfratorSamoistna awariaTakTakTak
14.Awaria UPSIIIUPSSamoistna awariaNieNieTak
15.Awaria usług łączności sieciowejIIISiećSamoistna awariaNieTakTak
16.Błąd importu danych do systemuIIISiećNieprawidłowe działanie elementów aktywnych lub okablowaniaNieTakTak
17.Błędy konserwacji aplikacjiIVAplikacjaUmyślne lub przypadkoweNieTakTak
18.Błędy konserwacji serweraIISerwerUmyślne lub przypadkowe (przez Administratora)NieTakTak
19.Błędy transmisji zbiorów uaktualniających bazę danychIIISiećUmyślne, przypadkoweNieTakTak
20.Brak potwierdzenia możliwości komunikacji między serwerem i klientemIIISerwerNieNieTak
21.Destrukcja informacji i programów zewnętrznym impulsemIISerwerNieTakTak
22.Emisja ujawniającaIIZestaw komputerówTakNieNie
23.Kradzież nośnika informacji przez osobę nieuprawnioną (dyskietka, dysk twardy, taśma)IINośnikW trakcie przenoszenia lub z miejsca przechowywaniaTakNieTak
24.Kradzież wydruku przez osobę nieuprawnionąIIWydrukTakNieNie
25.Luki w oprogramowaniu i protokołachIVAdministratorZaniedbania w zarządzaniu PatchamiTakTakTak
26.Manipulacja w systemie zabezpieczeńIVAdministratorPrzez administratoraTakTakTak
27.Modyfikacja zawartości wiadomości (skrzynek pocztowych)IIAdministrator, InspektorDokonywana przez administratora, InspektoraTakTakNie
28.Niedokonanie blokady konta po cofnięciu dostępu do systemuIVAdministratorPrzez administratoraTakTakTak
29.Nieusunięcie informacji z dyskietki po przeniesieniu plików do systemuIVUżytkownikPrzez użytkownikaTakNieNie
30.Nieusunięcie informacji z nośnika przed jego likwidacją, przekazaniem lub naprawąIVAdministratorPrzez administratoraTakNieNie
31.Niezniszczenie wydruków o charakterze roboczymIVUżytkownikPrzez użytkownikaTakNieNie
32.Niedostępność bazy danychIVAplikacjaBrak możliwości przeprowadzenia kontroli formalnejNieNieTak
33.Niedostępność systemuIVAplikacjaBrak dostępu do plikówNieNieTak
34.Niemożność przeniesienia informacji z dyskietki do systemuIVDyskietkaUszkodzenie dyskietki lub niepoprawne działanie aplikacji FTPNieNieTak
35.Nieumyślne uszkodzenie oprogramowania serweraIIAdministrator, InspektorNieTakTak
36.Nieuprawniona modyfikacja informacji przeznaczonej dla odbiorców zewnętrznychIIUżytkownikPrzez użytkownika (dot. informacji przekazywanej)NieTakTak
37.Nieuprawnione usunięcie użytkownika z grupy "użytkownicy" katalogu z informacjąIIAdministratorPrzez administratoraNieNieTak
38.Podgląd informacji z monitora przez osobę nieuprawnionąIPCNp. przez nieuprawnioną osobęTakNieNie
39.Podgląd informacji z wydruku przez osobę nieuprawnionąIWydrukNp. przez nieuprawnioną osobęTakNieNie
40.Porzucenie nośnika informacjiIIUżytkownikTakNieNie
41.Porzucenie wydrukuIIUżytkownikTakNieNie
42.Powielenie wiadomości lub jej przejęcie i opóźniona transmisjaIIAdministrator, InspektorTakNieNie
43.Powodowanie szczelin w systemie zabezpieczeńIIOsobyTakTakTak
44.Pozostawienie nośników poza miejscem ich przechowywaniaIIOsobyTakNieNie
45.Przejrzenie, skopiowanie, sfałszowanie lub skasowanie informacjiIIOsobyTakTakTak
46.Przepięcie w sieci elektrycznejIVSprzętSkok napięciaNieTakTak
47.Przypadkowe skasowanie zawartości zarejestrowanego nośnikaIIUżytkownikNieTakTak
48.Tolerowanie szczelin w systemie zabezpieczeńIVAdministrator, Użytkownik, InspektorBrak podjęcia działań w przypadku posiadania wiedzy o lukach w systemie zabezpieczeńTakTakTak
49.Umyślne skasowanie informacji (np. zawartości skrzynki pocztowej)IIAdministrator, InspektorNieNieTak
50.Umyślne uszkodzenie oprogramowania systemowego serwerówISystem OperacyjnyNieTakTak
51.Umyślne uszkodzenie aplikacjiIIOsobyTakTakTak
52.Uszkodzenie bazy danych osobowychIIOsobyTakTakTak
53.Uszkodzenie drukarkiIIOsobyNieNieTak
54.Uszkodzenie informacji w skrzynkach pocztowychIIUżytkownikTakTakTak
55.Uszkodzenie nośnika z kopią zapasową przez osobę nieuprawnionąIINośnikNieTakTak
56.Uszkodzenie oprogramowaniaIIAdministrator, UżytkownikNieTakTak
57.Uszkodzenie PC przez osobę nieuprawnionąIIPCTakTakTak
58.Uszkodzenie plomb zabezpieczających PC przez osobę nieuprawnionąIIZestaw komputerówTakNieTak
59.Uszkodzenie serwera przez osobę nieuprawnionąIISerwerNieTakTak
60.Uszkodzenie szyfratoraIIOsobyTakTakTak
61.Uszkodzenie UPS przez osobę nieuprawnionąIIUPSNieNieTak
62.Uszkodzenie zarejestrowanego nośnikaIIOsobyNieTakTak
63.Użycie nielegalnego oprogramowaniaIIAdministratorWykorzystywanie oprogramowania z nielegalnego źródła lub niesprawdzonego, które może powodować konflikty software'owe dla systemu zakłócając lub uniemożliwiając jego działanieNieTakTak
64.Atak wewnętrzny na aplikacjęIIAplikacjaOsoba nieuprawnionaTakTakTak
65.Wprowadzenie do systemu oprogramowania złośliwegoIVOsobyTakTakTak
66.Wprowadzenie osoby nieuprawnionej do grupy "użytkownicy" katalogu z informacjąIIAdministratorPrzez administratoraTakTakTak
67.Wydanie niewłaściwej dyskietkiIIUżytkownikTakNieTak
68.Wykorzystanie nośnika o złej jakościIIOsobyNieTakTak
69.Wykorzystanie zalogowanego komputera do przejrzenia, skopiowania, sfałszowania lub skasowania informacji przez osobę nieuprawnionąIPCNp. przez nieuprawnionego pracownika lub funkcjonariuszaTakTakTak
70.Wyłudzenie haseł dostępu użytkowników uprzywilejowanych do serweraIIAdministratorTakTakTak
71.Wyłudzenie hasła administratoraIIAdministratorW celu zakłócenia pracy systemu lub skopiowania informacjiTakTakTak
72.Wyłudzenie hasła dostępu AS do SOIIAdministratorTakTakTak
73.Wyłudzenie hasła dostępu U do SOIIUżytkownikTakTakTak
74.Wyłudzenie hasła ADMINISTRATOR w BIOSIIUżytkownik,TakTakTak
75.Wyniesienie niezarejestrowanego wydrukuIIUżytkownikPrzez użytkownikaTakNieNie
76.Wyniesienie zarejestrowanej dyskietkiIIUżytkownikTakNieNie
77.Zagubienie zarejestrowanej dyskietkiIIUżytkownikTakNieTak
78.Zaprzeczenie wysłania wiadomościIIUżytkownikNieTakNie
79.Złamanie haseł dostępu AS do urządzeń aktywnych sieciIISiećOsoba nieuprawnionaTakTakTak
80.Złamanie hasła ADMINISTRATOR w BIOSIIPCOsoba nieuprawnionaTakTakTak
81.Złamanie hasła administratoraIISystem OperacyjnyOsoba nieuprawnionaTakTakTak
82.Złamanie hasła dostępu U do SOIISystem OperacyjnyOsoba nieuprawnionaTakTakTak
83.Zmiana konfiguracji oprogramowaniaIVAdministratorPrzez administratoraTakTakTak
84.Zmiana konfiguracji sprzętuIVAdministratorPrzez administratoraTakTakTak
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .